联想网御SSL VPN产品白皮书-2091201 - 图文 下载本文

www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 ? 需要安装客户端软件,存在大量的安装、培训、升级、管理等工作,无

形增加了用户的使用成本。

? 接入设备支持的种类少,以Desktop PC和Noteboke PC为主,对手机、

PDA、MAC、移动终端等设备的支持有局限性。 ? 存在一些技术问题,如:NAT穿透、私有地址冲突等。

? 由于IPSec是网络层协议,安全隧道一旦建立,可以访问所有内部资源,

存在一定的安全隐患。

因此,无论国际还是国内,无需安装客户端、支持多种设备接入。且能提供更好的安全控制手段的SSL VPN正逐渐的赢得更多用户的青睐。

1.2 SSL VPN技术发展趋势

SSL VPN正在进入高速发展阶段,综合分析国内外相关技术,其发展趋势有如下七个特点:

1. 支持更多的终端计算环境,终端计算环境在向多元化发展,硬件体系、

操作系统和浏览器各不相同。SSL VPN除对普通的PC设备提供接入支持外,还要有广泛的平台兼容性。近年,Linux操作系统及FireFox浏览器的市场占有率快速上升,手机、PDA、数字终端也有安全接入需求。因此,需要研究和开发相应的客户端插件,同时需要终端硬件对国产密码算法支持,让SSL VPN可以适应更多的终端计算环境。

2. 更强大的动态授权管理,授权管理正在由单一的身份认证即静态授权向

多重检查的动态授权发展。用户登录后所授予的访问权限不但与用户的身份有关,还与用户所使用的远程主机的安全状态、时间、行为是否异常有关。SSL VPN通过Web网页下载一个主机检查器,该软件可以检查远程主机的操作系统和浏览器的版本、补丁,还会检查杀毒软件的版本和病毒库版本。根据这些信息,SSL VPN网关评估客户端的安全状态,对安全程度不够的远程主机限制其访问行为。SSL VPN还要对Web应用攻击进行分析过滤,进一步保护Web服务器的安全。

2 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 3. 更高的处理性能,为适应运营商级海量用户接入需求,必须优化软硬件

设计,研发高性能SSL VPN安全网关。需要进一步研究SSL VPN集群技术,每个SSL VPN集群最大的处理能力要达到30万并发用户以上。 4. 更强的端点安全防护,客户端主机在建立SSL VPN隧道后,SSL VPN

网关应禁止客户端主机访问隧道以外的网络,以确保隧道安全;当用户注销后,客户端插件需要自动清除此次的访问痕迹,确保信息不泄漏。 5. 网络优化与加速,针对SSL协议进行传输性能优化是提高SSL VPN产

品性能的重要手段。对国内SSL VPN产品还要考虑北网通与南电信互联问题。需要SSL VPN产品根据接入客户端来自哪个ISP自动选择最佳路径,可以大大提高访问效率,更好的适应国内的网络环境。

2 产品简介

为了满足用户安全快捷延伸业务的需求和顺应SSL VPN技术发展趋势,联想网御通过多年的技术积累,推出了完全拥有自主知识产权的安全增强性SSL VPN网关SAG(SSL Access Gateway)。

2.1 SAG能做什么

联想网御SAG产品可以让任意组织的员工、客户和合作伙伴随时随地安全访问组织内部的邮件、文件服务器、Web应用和其他核心的商用应用系统,从而提高组织的生产效率,降低IT投入成本。作为专业的安全接入VPN产品,SAG可以为远程和本地的用户提供可扩展的接入能力,同时保证最强的安全性和最短的应用响应时间,以及对用户端的全应用支持。

3 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书

图 1 SAG能做什么?

2.2 SAG工作原理

用户在部署了联想网御SAG产品后,利用支持SSL安全协议的标准WEB浏览器,向SAG发起连接请求,建立远程安全传输通道,实现加密传输,通过基于用户的身份认证和授权后,访问内网中广泛的应用系统和数据资源,同时实现对访问行为的安全审计。

无需安装客户端、无需改变用户网络既有设置、无需考虑NAT穿透问题、无需考虑私有地址冲突问题,无论用户在何时、无论用户在何地、无论用户用何种接入设备、无论用户用何种接入方式,均可通过SAG安全、快捷的适用内网业务系统,实现业务延伸。

图 2 什么是SAG?

4 www.sslvpn.com.cn 联想网御SSL VPN产品白皮书 2.3 SAG产品架构

2.3.1 硬件架构

网络带宽与用户使用体验的高速发展,决定了对SSL VPN设备的高性能需求,联想网御以客户需求为导向,始终走在高速安全硬件技术应用的最前沿,在SAG系列的中低端型号中硬件平台主要采用了自主开发的ASIC芯片架构,高端型号采用了ASIC芯片+多核处理器的硬件架构,使其单机最大可同时服务10000个并发用户,充分满足了用户对SSL VPN网关高性能、高容量的需求。

ASIC架构:内容处理和应用安全的需求促进了ASIC技术的应用,联想网御在SAG中采用业界领先的ASIC芯片对数据加解密进行硬件加速,提高了SSL协议的处理效率,解决了数据加解密的性能瓶颈问题。

多核多线程架构:联想网御SAG产品采用当前网络设备领域最先进的多核多线程硬件架构,通过多核并行调度,动态线程池、异步I/O等多项技术,获得了数倍于采用常规X86架构产品的性能指标,使并发用户容量从上千用户扩展到了上万用户。

2.3.2 软件架构

软件部分由OS层、应用模块层和用户接口层组成。 ? OS层

系统层采用了联想网御开发了基于多平面的VSP通用安全平台,包括硬件抽象平面、系统服务平面、控制平面和数据平面。硬件抽象平面是系统和硬件之间的抽象层,等同于一般操作系统中的驱动层。该平面位于硬件之上,负责各种设备的初始化、寄存器设置和控制。硬件抽象平面屏蔽不同硬件之间的细节,上层应用统一使用系统服务平面接口调用硬件,实现硬件对上层应用是透明的。系统服务平面是控制平面和数据平面的基础设施,提供系统运行的基础服务,包括内存管理、文件系统、时钟管理。控制平面包括配置管理模块、安全协议处理模块、日志模块、设备管理模块。数据平面主要完成数据转发、安全控制,加解密等核心功能。

5